田湾核电站配置风险管理体系

顾晓慧，李友谊，郞锡野，孙 扬，赵芃菲，于文革

（江苏核电有限公司，连云港 222042）

配置风险管理是维修规则的重要组成部分。为保障核电厂的运行安全，核电厂营运单位编制了技术规格书，对核电厂配置（即系统和设备所处的状态）进行管理。技术规格书通常针对单个系统或设备进行允许出役时间管理。虽然有些技术规格书对多重系统或设备失效做了一些规定，但是核电厂配置组合的复杂性和多样性使这种控制方式并不完全合理。国际实践表明，对多重设备失效进行控制的有效方法是配置风险管理。国家核安全局于2019 年12月发布了《核电厂配置风险管理的技术政策（试行）》（以下简称《政策》）［1］，于2022 年6 月重新修订、发布了HAF 103《核动力厂调试和运行安全规定》［2］。该规定要求营运单位建立配置风险管理体系，以提高核安全管理决策的科学性和有效性。

在实际应用过程中发现，多数核电厂的配置风险管理无法应用于生产一线。其原因是方案未与现有管理流程紧密结合。田湾核电站在各部门的密切配合下自主研究技术政策，开发了切合电站实际的应用方案［3-5］，本文将进行详细介绍。

1 适用范围

配置风险管理大纲是核电厂运行技术规格书的补充。因此，在出现设备不可用时，核电厂必须依据运行技术规格书和配置风险管理大纲执行规定的措施［6］。

田湾核电站1-4 号机组的配置风险管理适用的系统/设备范围筛选自概率安全评价模型（PSA）和技术规格书（TS）。

运行配置风险管理适用的机组状态包括功率运行（状态1）、最小可监测功率水平（状态2）、热态（状态3）、加热（状态7）和冷却（状态8），适用的设备范围为PSA 和TS 共有设备（简称TS设备）。

维修配置风险管理适用的机组状态包括功率运行（状态1）、最小可监测功率水平（状态2）、热态（状态3）、冷态（状态4）、维修冷停堆（状态5）、加热（状态7）和冷却（状态8），适用的设备范围为PSA 模型中全部设备（PSA 设备）。

配置风险管理不适用于技术规格书要求立即后撤的状态。

2 核电厂体系框架与组织机构

2.1 体系框架

在配置风险管理实施过程中涉及生产计划、大修管理、运行、核安全管理和安全分析领域的相关管理程序和技术文件，其体系框架和清单如图1 所示。

图1 配置风险管理程序体系Fig. 1 The program system of configuration risk management

2.2 组织机构

实施配置风险管理的组织机构即已有的组织机构，包括生产计划、大修管理、运行、维修、设备管理、仪控、技术支持、核安全、信息文档和培训等部门。

核电厂厂长在业务方面负责配置风险管理工作；技术支持部门负责配置风险管理体系的建立与归口；生产计划部门负责生产计划（长周期计划、日常计划和责任范围内小修计划等）的风险计算、组织讨论与制定风险管理措施；大修管理部门负责大修计划（大修和责任范围内小修等）的风险计算并组织讨论、制定进入风险管理区的大修计划所需的风险管理措施；运行部门负责当机组非计划进入技术规格书的运行限制条件（LCO）时，对适用运行配置风险管理的事件按要求进行评价，并根据评价结果开展相应风险管理行动；核安全、维修、仪控和设备管理部门负责参加讨论与制定风险管理措施，并实施责任范围内风险管理措施；信息文档部门负责提供软件安装与数据存储所需的服务器资源，并保障风险监测系统软件与电厂其他系统接口通信的稳定性与可靠性；培训部门负责配置风险管理相关的培训组织与管理。

3 风险阈值

3.1 风险阈值设置

风险阈值对应内部事件一级PSA 模型堆芯损伤频率、堆芯损伤概率增量（CDF、ICDP）和二级PSA 模型早期大量放射性释放频率、早期大量放射性释放概率增量（LERF、ILERP）。

田湾核电站1-4 号机组PSA 模型包含功率工况和低功率停堆工况等不同运行工况。虽然不同工况的基准风险不一致，但采用统一的风险阈值进行管理。其中瞬时风险（CDF/LERF）阈值统一以功率工况零维修风险作为基准风险制定。累积风险（ICDP/ILERP）阈值各工况一致，计算机组累积风险时，以各自工况下的零维修风险为基准风险。

根据《政策》要求，考虑到田湾核电站1-4号机组内部事件一级PSA 结果约占全范围PSA总结果的1/3［计算公式如式（1）］，更严格地选取《政策》推荐值的0.3 倍作为田湾核电站1-4号机组的风险阈值。

对瞬时风险由低到高依次采用绿、黄、橙、红四种风险区域进行管理，与《政策》的区别是将风险管理区细分为橙区（高风险）和黄区（中风险），阈值见表1；对累积风险由低到高采用绿、黄、红三种风险区域进行管理，与《政策》一致，阈值见表2。

表1 瞬时风险阈值Table 1 Transition risk threshold

表2 累积风险阈值Table 2 Cumulative risk threshold

表3 运行（随机不可用）风险管理矩阵Table 3 Operation（random unavailable） risk management matrix

3.2 风险阈值管理

风险阈值的设定须经过同行评估或者得到国家核安全监管部门的认可。在获得认可前，电厂实施配置风险管理试运行，风险阈值作为试运行的参考。

风险阈值由技术支持部门参照《政策》，根据实际情况予以提出，并经相关部门讨论确定。

当PSA 模型更新导致机组基准风险发生变化或监管部门政策变化时，技术支持部门在15个工作日内组织公司相关部门讨论更新风险管理阈值事宜，并在公司企业内容管理系统（ECM）中以会议纪要的形式确认，获批后7 个工作日内在风险监测系统中更新风险管理阈值。如相关技术文件或管理程序受到阈值影响，则更新这些文件。

4 风险管理矩阵

4.1 风险管理矩阵设置

运行（随机不可用）风险管理矩阵被设定为正常控制区（绿区）、中风险管理区（黄区）、高风险管理区（橙区）和风险不可接受区（红区）四种风险区域，见表 3；维修（计划不可用）风险管理矩阵被设定为正常控制区（绿区）、风险管理区（黄区）和风险不可接受区（红区）三种风险区域，见表4。

表4 维修（计划不可用）风险管理矩阵Table 4 Maintenance（plan unavailable） risk management matrix

运行（随机不可用）风险管理矩阵的进入与退出：当电厂发生非计划的TS 设备不可用进入技术规格书LCO，并导致瞬时风险进入黄区、橙区和红区时，进入风险管理矩阵的相应风险区域；当所有TS 设备恢复可用时，退出风险管理矩阵的黄区、橙区和红区，进入绿区。

维修（计划不可用）风险管理矩阵的进入与退出：制订计划时，PSA 设备（《配置风险管理设备清单》中标注为PSA）不可用导致累积风险进入黄区时，进入风险管理矩阵的黄区，红区不允许主动进入；当所有PSA 设备恢复可用时，退出风险管理矩阵的黄区或红区，进入绿区。

当机组发生非计划事件，《配置风险管理设备清单》中设备突发故障不可用导致机组瞬时风险进入风险管理区（黄区和橙区），但维修活动的累积风险仍然处于绿区时，则可正常开展计划性维修工作。

4.2 风险管理矩阵管理

当由于技术进步、监管要求变化或电厂管理变更等原因需对风险管理矩阵进行修订时，归口部门应在15 个工作日内组织公司内相关部门讨论风险管理矩阵更新事宜，并在公司企业内容管理系统（ECM）中以会议纪要的形式确认，如相关技术文件或管理程序受到变更影响，则更新这些文件。

5 配置风险管理的实施

5.1 运行配置风险管理

当发生非计划事件进入技术规格书LCO时，运行人员除执行技术规格书所规定的措施以外，还需检查非计划事件是否由《配置风险管理设备清单》中标注为TS 的设备异常故障引起，若是，则需在确认配置后的1 h 内在风险监测系统中确认或录入设备不可用信息，完成配置风险评价，并根据评价结果按照图2 流程执行配置风险管理。

图2 运行配置风险管理流程Fig.2 The process of operation configuration risk management

若瞬时风险进入红区，则缺陷按0 级响应，启动生产待命流程进行决策，立即采取行动降低风险；若机组处于功率运行状态，且经确认机组配置风险处于红区时，则需要立即停堆后撤，将机组置于可接受的风险水平。若瞬时风险处于橙区，则缺陷按0 级响应，然后启动紧急消缺工作流程；若预判维修工作不能在RMAT 内完成，则应识别不可定量因素并制定RMA，之后可将维修时间延长至ACT。若瞬时风险处于黄区，则缺陷按1 级响应，所有非计划事件导致的设备不可用时间均使用RMAT 进行管理，在制定风险管理措施（识别不可定量因素）并组织实施后，可将维修时间延长10 倍至ACT；若制定的风险管理措施无法在ACT 之前降低风险，则需要将机组后撤至安全状态。

5.2 允许配置时间

采用累积风险限值计算允许配置时间，其中用风险管理区（黄区）限值ICDP＜3×10-7和ILERP＜3×10-7计算RMAT；在评价不可定量因素并采取了控制风险的措施后，用风险不可接受区（红区）限值ICDP＜3×10-6和ILERP＜3×10-6计算ACT。计算原理如图3 所示。

图3 允许配置时间计算Fig.3 The calculation of allowed configuration time

需要注意的是上述RMAT 和ACT 均为ICDP 和ILERP 限值计算结果中较小的一个，且均不能超过技术规格书要求。

图4 显示的是当配置风险管理范畴内设备不可用时，累积风险和允许配置时间随时间变化的计算原理图。在零时刻，设备A（非TS 设备）由于计划维修开始不可用，在制订计划时已判断设备A 无法在RMAT（即T3 时刻）前复役并制定有风险管理措施RMA，设备A 的维修时间延长至T3的10倍；在T1时刻，发生紧急事件（非计划），若经分析为第二个设备B（TS 设备）不可用导致进入LCO，则在1 h 内完成配置风险评价，得到新的RMAT 和ACT，T2 为RMAT，T5为ACT；若预判设备B 无法在T2 时刻前复役，应在T2 之前的生产例会/大修例会上进行讨论并制定RMA，可将维修时间延长至T5；T4 时刻设备A 复役，则需重新计算ACT 为T6。设备B 恢复可用后（即无TS 设备不可用时）退出运行配置风险管理。

图4 设备不可用时累积风险和允许配置时间计算Fig.4 The calculation of cumulative risk and allowed configuration time when equipment unavailable

5.3 维修配置风险管理

维修计划制定配置风险管理流程如图5 所示。生产计划和大修计划工程师在制订计划时应控制风险，若瞬时风险或累积风险必须进入风险管理区，则应在组织制定风险管理措施后发布实施计划，制定的风险管理措施应记录于运行风险分析单［7］。不允许主动进入累积风险红区和瞬时风险红区。

图5 维修配置风险管理流程Fig.5 The process of maintenance configuration risk management

5.4 风险管理措施的制定

RMA 是针对即将生效的计划或已经发生的事件导致机组进入风险管理区和风险不可接受区而制定的。RMA 应能够降低机组的瞬时或累积风险，当管理措施无效、可能出现不可接受的高风险配置时，则将机组后撤至适当模式。RMA 包括但不限于如下内容。

（1）修改已生效的计划，避免出现高风险配置；

（2）减少高风险配置的持续时间，如识别相关风险和接近/超越风险指引维修延长时间（ACT）的预案；制定预案，在需要时迅速恢复关键的停运设备；

（3）采取补偿措施，降低配置的风险；

（4）避免某些敏感SSC 不可用进一步导致更高风险配置，如尽量减少单点敏感设备（SPV）房间内其他设备的操作；

（5）提高风险意识和加强控制的措施，如在工前会中强调配置风险。

5.5 风险管理措施的实施

RMA 由工作层初步提出，在生产例会、大修例会等组织活动中讨论确定，并由电厂厂长根据机组实际情况批准后实施。仅通过修改维修计划时间即实现配置风险管理要求的RMA无须电厂厂长批准。

对于瞬时风险和累积风险措施预计将接近或超过阈值的电厂配置，应实施RMA。这些行动旨在提高相关电厂人员的风险意识，对特定维修活动进行更严格的规划和控制，并采取措施控制风险增加的持续时间和程度。具体的RMA 一般包括考虑电厂外部因素（如天气条件、电网条件等）、关键安全功能性能、剩余缓解能力及其冗余性等，可将定性评估用于支持在SSC停运时特定电厂和现场工况的风险管理补偿措施的识别和实施。

风险管理措施的制定需考虑核电厂执照文件的相关规定。制定的风险管理措施应得到有效执行，并在执行后由相关负责人组织进行有效性评价。

5.6 体系有效性的定期评价

归口部门在每个换料周期组织开展电厂配置风险管理体系有效性评价，评价内容包括运行配置风险管理和维修配置风险管理的执行情况、风险阈值和风险管理矩阵合理性、风险管理措施执行情况、风险监测系统使用情况和体系的总体情况等。在电厂实施维修规则后，一并开展体系有效性的定期评价与维修规则定期评价。

6 总结

田湾核电站深入解读国家法规、政策，建立了一套行之有效的管理与预维方案，为提高核电厂配置风险管理水平打下了坚实基础。